🧠 El blog está dedicado al tema de VPN y seguridad, privacidad de datos en Internet. Hablamos de tendencias actuales y noticias relacionadas con la protección.

¿Le irá mejor a la LGPD de Brasil que al RGPD? Talvez no

17

El RGPD europeo (Reglamento general de protección de datos) ha traído la importancia de la legislación de privacidad a la conciencia pública en todo el mundo. Impulsado por las crecientes preocupaciones sobre la privacidad con Big Tech (Facebook, Google, Apple, etc.) que inciden descaradamente en la privacidad del usuario, la redacción de GDPR pronto inspiró a otros países a seguir con sus propias leyes de protección de datos. EE. UU. llegó con la CCPA, Australia con la Enmienda de Privacidad, Japón con la enmienda de la Ley de Protección de Información Personal, así como Tailandia, Corea del Sur, Canadá y otros.

La más reciente de estas leyes inspiradas en el RGPD es la Ley General de Protección de Datos de Brasil, Lei Geral de Proteção de Dados Pessoais (LGPD). Se espera que la LGPD, que se presentará en agosto de 2020, simplifique y unifique la naturaleza fragmentada de las leyes de privacidad en Brasil, con unos 40 estatutos legales de este tipo que rigen la protección de datos en el país de manera industrial.

Este artículo describe brevemente los puntos principales de la ley, sus diferencias con el RGPD y los problemas relacionados con la aplicación y el gobierno de la LGPD. Gran parte de lo que sigue fue coautor del Sr. Leandro Chahde, un abogado brasileño de Advogado Zona Norte que está directamente familiarizado con la LGPD.

¿A quién se aplica la LGPD?

Al igual que GDPR, la LGPD se aplica a cualquier individuo ubicado en Brasil, independientemente de su nacionalidad. Esto significa que cualquier empresa o sitio web en el mundo que procese datos de una persona que vive en Brasil debe cumplir con la LGPD. El carácter extraterritorial de la ley hace que sea tan importante como el RGPD, ya que todas las empresas, nacionales o multinacionales, grandes o pequeñas, están sujetas a los mismos estándares y sanciones. bajo la LGPD.

Derechos de los consumidores bajo la LGPD

La LGPD consta de 10 capítulos con un total de 65 artículos. Estos artículos definen los derechos y disposiciones amparados por la LGPD. Aunque aquí no es posible un tratamiento completo de la ley, los siguientes son los derechos clave de las personas bajo la LGPD:

Consentimiento explícito: se debe informar claramente al interesado sobre el motivo de la recogida de los datos personales y la finalidad del uso.

Corrección: el titular puede solicitar cambios en sus datos (correcciones, actualizaciones y supresiones).

Derecho al olvido: independientemente del motivo, el titular puede solicitar la eliminación de sus datos dentro de un sistema determinado.

Portabilidad: debe ser posible que el titular pueda exportar sus datos personales de un sistema a otro.

Derecho a la explicación:  el titular puede solicitar información sobre todos los algoritmos que interactúan con sus datos para comprender, por ejemplo, por qué se negó un préstamo bancario.

¿En qué se diferencia del RGPD?

El RGPD y la LGPD comparten muchos puntos de similitud, pero también difieren en varios aspectos importantes:

  • Tratamiento de Datos Sensibles: La legislación europea prohíbe el tratamiento de datos sensibles, estableciendo algunas excepciones a la prohibición. Dos de ellos no estaban incluidos en la ley brasileña: (i) Datos hechos públicos por el titular; (ii) Datos relativos a miembros actuales o anteriores de fundaciones, asociaciones u organizaciones sin ánimo de lucro, tratados con finalidades legítimas y con las medidas de seguridad adecuadas.
  • Marketing Directo: La ley brasileña aplica las reglas generales de consentimiento, transparencia y derecho de oposición a los titulares de datos personales. El europeo, en cambio, presenta previsiones concretas. El interesado tiene derecho a oponerse en cualquier momento al tratamiento de sus datos personales, lo que incluye la definición de perfiles en la medida en que esté relacionado con el marketing directo.
  • Relación entre Controlador y Operador: Aunque la ley brasileña establece que el operador debe realizar el procesamiento de datos de acuerdo con las instrucciones del controlador, no existe ningún requisito para la formalización a través de un contrato. A su vez, la legislación europea establece que el tratamiento de datos realizado por un operador debe regirse por un contrato u otro acto jurídico que vincule al responsable del tratamiento con el operador.
  • Informe de Impacto:  La ley brasileña no ha aclarado en qué situaciones el controlador estará obligado a realizar un informe de impacto sobre la protección de datos personales, delegando para regulación posterior el tratamiento de esta materia. La legislación europea establece que el responsable del tratamiento debe proporcionar un informe de impacto en la protección de datos personales, cuando el tratamiento resulte en un alto riesgo para los derechos y libertades de las personas. GDPR también proporciona una descripción detallada de lo que debe cubrirse en este informe.
  • Transferencia internacional de datos: la ley brasileña permite la transferencia de datos personales a países u organismos internacionales que brinden una protección adecuada a los datos personales. La ley es breve respecto a este procedimiento y elementos para que se considere adecuado. La LGPD establece únicamente lineamientos genéricos a ser observados por las autoridades nacionales. La normativa europea sostiene que la transferencia internacional de datos puede realizarse independientemente de una autorización específica si la Comisión Europea reconoce que el tercer país garantiza un nivel de protección adecuado. En caso contrario, la transferencia internacional estará sujeta a garantías adecuadas, que deberán ser garantizadas por el Agente. Todos los procedimientos y elementos que son tenidos en cuenta por la Comisión para la autorización de la transferencia están descritos en el RGPD.
  • Supervisión de la Aplicación de la Ley:  El proyecto de ley que dio origen a la LGPD preveía la creación de la Autoridad Nacional de Protección de Datos, siguiendo la misma línea que la normativa europea. Sin embargo, las disposiciones que preveían su creación y competencias han sido vetadas, por incurrir en inconstitucionalidad en el trámite legislativo. La normativa europea establece la creación del Comité Europeo de Protección de Datos, encargado de velar por la aplicación coherente del RGPD.

Cuando entró en vigor el RGPD, los proveedores de VPN tuvieron que renovar sus políticas de privacidad para adaptarse a las disposiciones de la nueva legislación. Será interesante ver si la LGPD será tratada con el mismo respeto por la industria de las VPN.

¿Qué tan efectivo será?

La autoridad encargada de la regulación y aplicación de la LGPD es la Autoridad Nacional de Protección de Datos (ANPD). Sin embargo, aún no se han designado miembros del organismo. Además, el hecho de que la ANPD estará estrechamente vinculada al gobierno plantea serias preocupaciones sobre la aplicación justa de la ley.

En Brasil, las principales agencias reguladoras son estatales. La consecuencia de esto es la politización de estos órganos y, en consecuencia, la corrupción. El favoritismo hacia las empresas poderosas y la injerencia injusta del gobierno que promueve sus intereses políticos no está, por lo tanto, fuera de lugar.

El hecho de que el RGPD en sí mismo no haya logrado responsabilizar a las empresas, después de dos años de su aprobación, es muy desalentador. La empresa de navegadores web Brave presentó una denuncia ante la Comisión Europea, afirmando que los gobiernos europeos no han proporcionado los recursos necesarios para que las autoridades de protección de datos cumplan con sus funciones.

Como tal, los temores de que LGPD sufra el mismo destino que GDPR son completamente válidos. Al mismo tiempo, sin embargo, tenemos ejemplos positivos de agencias estatales que trabajan de manera exquisita en Brasil, como PROCON, que actúa en la defensa de los derechos del consumidor.

Brasil es un país conocido por tener leyes que funcionan y otras que no. Basado en experiencias anteriores, la creencia de que la ley cumplirá parcialmente su papel no es demasiado descabellada. Habrá interés del gobierno en obtener fondos a través de multas que se aplicarán a las empresas que no cumplan con los parámetros establecidos por la Ley General de Protección de Datos.

Finalmente, seguramente habrá una gran judicialización del tema, por parte de empresas que se sienten injustas por multas ilegales o abusivas. Queda por saber si el poder judicial brasileño será técnicamente capaz de resolver tales conflictos.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More